1. Sammanfattning
Rapporten visar att under hösten 2024 genomfördes omfattande DDoS-attacker mot kritisk infrastruktur i Norden och Baltikum, främst under september och oktober. Botnätet Gorilla, en vidareutveckling av Mirai, identifieras som huvudaktör bakom angreppen. Dessa riktades särskilt mot statliga myndigheter, akademiska institutioner, samt telekommunikations- och finanssektorer. Attackerna använde sig av avancerade tekniker som DNS-förstärkning och TCP/UDP-flooding. Rapporten ger även rekommendationer för försvarsåtgärder, både på kort och lång sikt.
⸻
2. Fördjupning
Övergripande hotbild
• Överbelastningsangrepp (DDoS) har ökat i både frekvens och komplexitet de senaste två åren.
• Drivande faktorer: geopolitiska spänningar, hacktivism, och tillgången till DDoS som tjänst (DDoSaaS).
• DDoS med geopolitiska motiv har särskilt riktats mot kritisk infrastruktur i Europa och Sverige.
Geografisk spridning och mål
• Cirka 3 765 mål identifierades totalt, varav 2/3 i Finland.
• Sverige drabbades i högre grad av attacker mot kritisk infrastruktur (nästan 1/3 av alla attacker), jämfört med Finland (3 %).
• Angriparna tycks ha agerat sekventiellt mellan olika länders IP-rymder, snarare än parallellt.
Tillvägagångssätt vid angrepp
Fem huvudsakliga tekniker:
1. DNS-förstärkning – extremt vanlig, utnyttjar öppna DNS-servrar.
2. IP-fragmentering – skickar paketen i fel ordning för att överbelasta målets resurser.
3. UDP-flood – mängder av UDP-paket mot slumpmässiga portar.
4. TCP ACK-flood – påverkar TCP-handshake-processens sista steg.
5. TCP SYN-flood – inleder TCP-handshake utan att slutföra den.
Botnätet Gorilla
• Aktivt i över 100 länder, med över 300 000 attacker globalt under en månad 2024.
• Stöd för flera processorarkitekturer: ARM, MIPS, x86, m.fl.
• Infrastruktur:
• C2-servrar (command and control)
• Staging-servrar för skadlig kod
• Användning av proxynätverk för anonymisering
• Infekterar allt från högkapacitetsroutrar till IoT-enheter.
• Spridning via kända lösenord och installationsscript.
Kommersialisering av DDoS
• Gorilla erbjuder tjänster via Telegram-botar, där kunder kan köpa attacker temporärt eller via “abonnemang”.
⸻
3. Faktakontroll
Rapportens huvudpåståenden bekräftas av externa källor:
• Geopolitisk koppling till DDoS-attacker bekräftas av ENISA Threat Landscape 2024 och NETSCOUTs rapporter .
• DNS amplification och TCP SYN floods är väldokumenterade tekniker enligt Cloudflare och Akamai .
• Gorilla-botnätet har dokumenterats av The Hacker News och NSFOCUS, inklusive dess omfattning och vidareutveckling från Mirai .
Metodologisk styrka: Rapporten grundas på faktisk trafikdata och samarbete med både drabbade sektorer och näringslivet, vilket stärker trovärdigheten.
Möjliga svagheter:
• Ospecificerat urval av data och ingen kvantitativ uppdelning av trafiktoppar (förutom ett exempel på 5 Mpps).
• Ingen analys av möjliga statliga aktörers inblandning – sannolikt ett medvetet val för att hålla fokus på teknisk analys.
⸻
4. Summering
Rapporten visar att överbelastningsangrepp mot kritisk infrastruktur i Norden och Baltikum är en konkret och växande cyberhotbild, där teknisk komplexitet kombineras med kommersiella möjligheter för angripare. Botnätet Gorilla spelar en central roll och nyttjar både avancerad infrastruktur och enkel åtkomst för köpare. Rapporten ger praktiskt användbara rekommendationer, men saknar detaljerad attribution eller djupare analys av angriparnas bakomliggande motiv.
⸻
5. Källförteckning
1. ENISA Threat Landscape 2024 – Översikt över cyberhot i EU.
https://www.enisa.europa.eu/sites/default/files/2024-11/ENISA%20Threat%20Landscape%202024_0.pdf
2. Cloudflare – What is a DDoS attack?
https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack
3. The Hacker News – Gorilla Botnet
https://thehackernews.com/2024/10/new-gorilla-botnet-launches-over-300000.html
4. NSFOCUS – GorillaBot: The New King of DDoS Attacks
https://nsfocusglobal.com/over-300000-gorillabot-the-new-king-of-ddos-attacks
5. NETSCOUT Threat Intelligence Report 1H2024